Estoy trabajando en un proyecto donde los usuarios pueden publicar. Cuando un usuario inicia sesión y la contraseña es correcta, los inicia y comprueba la base de datos. Si tienen un ID de sesión, lo devuelve, si no, crea un nuevo ID de sesión y lo devuelve. Si vuelven a iniciar sesión en otro lugar, como su teléfono, hace lo mismo; si existe un ID de sesión, devuelve la sesión.
Mi pregunta es, ¿es esto seguro? ¿Debería cada dispositivo con el que iniciar sesión tener un ID de sesión separado? La única vez que borro el ID de sesión es cuando se cambia la contraseña.